CISM信息安全保障概要.ppt

具体解释-2 雇佣中 保证其充分了解所在岗位的信息安全角色和职责 有针对性地进行信息安全意识教育和技能培训 及时有效的惩戒措施 * 举例——一些终端管理的现状 员工缺乏基本的安全意识，特别是一些业务人员等，没有进行统一的、系统的安全培训和学习的机会。 由于员工对发生安全问题后造成的后果不负任何责任，从而也就不能有效的督促员工提高自己的安全意识，最终形成恶性循环、导致员工不能严格遵循公司的安全管理制度。 个人电脑的密码设置为空或者非常脆弱 系统默认安装，从不进行补丁升级 拨号上网，给个人以及整个公司带来后门 启动众多不用的服务 人员层次不同，流动性大，安全意识薄弱而产生病毒泛滥、终端滥用资源、非授权访问、恶意终端破坏、信息泄露等安全事件不胜枚举。 * 具体解释-3 离职人员存在的安全隐患 未删除的帐户 未收回的各种权限 VPN、远程主机、企业邮箱和VoIP等应用 其它隐含信息 网络机构、规划，存在的漏洞 同事的帐户、口令和使用习惯等 这些信息和权限如果被离职的员工和攻击者们恶意利用，很容易导致信息安全故障 * 具体解释-4 离职 终止职责，通知相关人员人事变化，明确离职后仍需遵守的责任规定 归还资产，保证离职人员归还软件、电脑、存储设备、文件和其他设备 撤销访问权限，撤销用户名、门禁卡、秘钥、数字证书等 * 系统运维安全管理-Why？ 案例1：２００７年８月３０日，美国空军一架Ｂ－５２战略轰炸机误装６枚核弹后，从北部的北达科他州飞往南部的路易斯安那州。这一空前事件显示了美国空军对核武器指挥和控制体系中的漏洞。 案例2：数据库管理员由于疏忽进行了误操作,将重要的信息删除了。 案例3：涉密计算机出现故障硬盘数据丢失，使用人员将硬盘拿到社会上的数据恢复公司进行恢复，造成秘密泄露。 * 通信和操作管理目标 Operating Instruction 目标： 操作程序和责任——确保正确、安全的操作信息处理设施 第三方服务交付管理——实施并保持信息安全的适当水平，确保第三方交付的服务符合协议要求。 系统规划与验收——减少系统失效带来的风险。 防范恶意代码和移动代码——保护软件和信息的完整性。 备份——保持信息和信息处理设施的完整性和可用性 * 通信和操作管理目标 目标： 网络安全管理——确保对网络中信息和支持性基础设施的安全保护。 介质处理和安全——防止对资产的未授权泄漏、修改、移动或损坏，及对业务活动的干扰。 信息和软件的交换——应保持组织内部或组织与外部组织之间交换信息和软件的安全。 监督——检测未经授权的信息处理活动。 * 具体解释-1 操作程序和职责 操作程序应形成文件、保持并对有需要的用户可用 例如：制定各种安全事故的应变措施，包括通讯故障、拒绝服务等 对信息处理设施和系统的变更应加以控制 责任分割，降低未授权或无意识的修改或者误使用组织资产的机会 开发、测试和运行设施分离 * 具体解释-2 第三方服务交付管理 采用第三方服务时需注意控制风险 例如：使用外部合同商管理，可能造成潜在的安全暴露 系统规划和验收 满足未来规划需求，确保系统有足够的处理能力与储存空间 大型电脑设备尤其需要注意，因为增加大型机的新容量成本会更加高昂并且交付周期更长。 * 具体解释-3 防止恶意和移动代码 控制恶意代码 实施恶意代码的监测、预防和恢复的控制措施，提高用户安全意识 例如：避免使用未经授权的软件、定期更新病毒库。 备份 备份资料必须给予适当级别与保护 定期测试备份媒体 定期检查与测试复原步骤 * 具体解释-4 网络安全管理 网络控制 例如：制定管理远程设备的管理职责与程序 网络服务安全 例如：实施VPN，保护通过Internet的数据的保密性与完整性。 * 具体解释-5 介质处置 介质的管理和处置 例如：制定适当的步骤保护介质的安全，包括烧毁或粉碎的步骤 演示举例——”数据恢复” * 具体解释-6 信息的交换 保持内、外部组织信息和软件交换的安全 例如：信息交换前应该签署协定 注明传送与接收信息的管理责任 传送与接收信息的程序 资料的遗失责任归属 * 具体解释-6 监督 检测未经授权的信息处理活动 例如，日志： 覆盖范围 统一时间 用户标识 记录操作活动和系统错误 日志的存储和访问控制 俄罗斯的核武器系统密码保存在总统手中，国防部也保存一 份。当最高层作出发动核打击决定时，总统身边的特别专家小组 将协助他译出平时存放在黑色提箱内的密码。与此同时，作为军 方最高领导人的国防部长也必须译出由他保管的指令密码。总统 和国防部长分别通过不同的通讯网，将两组不同的密码传送到总 参作战部电脑控制中心，经过运算形成一组有12位数字的第三套 预发密码，再由特种通讯系统通过特殊频率传递给核潜艇指挥官 和导弹发射基地，指挥官再按照程